Podcast
Questions and Answers
¿Cuál es la definición correcta de impacto acumulado sobre un activo?
¿Cuál es la definición correcta de impacto acumulado sobre un activo?
En la clasificación de zonas de riesgo, ¿qué describe la Zona 2?
En la clasificación de zonas de riesgo, ¿qué describe la Zona 2?
¿Qué representa el riesgo en la fórmula F(probabilidadAmenza, impacto)?
¿Qué representa el riesgo en la fórmula F(probabilidadAmenza, impacto)?
¿Qué es el riesgo potencial según el contenido?
¿Qué es el riesgo potencial según el contenido?
Signup and view all the answers
¿Qué significa el término 'riesgo repercutido' sobre un activo?
¿Qué significa el término 'riesgo repercutido' sobre un activo?
Signup and view all the answers
¿Cuál es la característica del valor acumulado sobre un activo?
¿Cuál es la característica del valor acumulado sobre un activo?
Signup and view all the answers
¿Cómo se puede definir el análisis de riesgo?
¿Cómo se puede definir el análisis de riesgo?
Signup and view all the answers
En la definición de impacto sobre un activo, ¿qué destaca la ocurrencia de una amenaza?
En la definición de impacto sobre un activo, ¿qué destaca la ocurrencia de una amenaza?
Signup and view all the answers
¿Cuál de las siguientes afirmaciones sobre los antivirus es incorrecta?
¿Cuál de las siguientes afirmaciones sobre los antivirus es incorrecta?
Signup and view all the answers
¿Qué función principal cumple un sistema de autenticación?
¿Qué función principal cumple un sistema de autenticación?
Signup and view all the answers
¿Cuál de los siguientes métodos de autenticación genera un token?
¿Cuál de los siguientes métodos de autenticación genera un token?
Signup and view all the answers
En el contexto de OAuth, ¿qué se entiende por autorización?
En el contexto de OAuth, ¿qué se entiende por autorización?
Signup and view all the answers
¿Qué describe mejor a un JWT (JSON Web Token)?
¿Qué describe mejor a un JWT (JSON Web Token)?
Signup and view all the answers
¿Cuál de los siguientes elementos no forma parte de un JWT?
¿Cuál de los siguientes elementos no forma parte de un JWT?
Signup and view all the answers
El protocolo Radius se utiliza principalmente para:
El protocolo Radius se utiliza principalmente para:
Signup and view all the answers
¿Qué caracteriza principalmente a un firewall?
¿Qué caracteriza principalmente a un firewall?
Signup and view all the answers
¿Cuál de las siguientes es una salvaguarda contra ataques XSS?
¿Cuál de las siguientes es una salvaguarda contra ataques XSS?
Signup and view all the answers
La técnica de 'clickjacking' se basa en:
La técnica de 'clickjacking' se basa en:
Signup and view all the answers
¿Qué medida ayuda a forzar el uso de HTTPS en las conexiones web?
¿Qué medida ayuda a forzar el uso de HTTPS en las conexiones web?
Signup and view all the answers
¿Cuál es la función principal de un WAF?
¿Cuál es la función principal de un WAF?
Signup and view all the answers
El eavesdropping se refiere a:
El eavesdropping se refiere a:
Signup and view all the answers
¿Qué significa la cabecera 'Content-Security-Policy'?
¿Qué significa la cabecera 'Content-Security-Policy'?
Signup and view all the answers
¿Cuál de los siguientes ataques implica el robo de una sesión ya iniciada?
¿Cuál de los siguientes ataques implica el robo de una sesión ya iniciada?
Signup and view all the answers
¿Qué recurso utiliza una política CORS para gestionar la interacción entre diferentes dominios?
¿Qué recurso utiliza una política CORS para gestionar la interacción entre diferentes dominios?
Signup and view all the answers
¿Cuál es la disponibilidad anual asociada con un CPD de Tier I?
¿Cuál es la disponibilidad anual asociada con un CPD de Tier I?
Signup and view all the answers
¿Qué característica NO es propia de un CPD de Tier IV?
¿Qué característica NO es propia de un CPD de Tier IV?
Signup and view all the answers
¿Qué métrica se utiliza para evaluar la eficiencia energética de un CPD?
¿Qué métrica se utiliza para evaluar la eficiencia energética de un CPD?
Signup and view all the answers
¿Cuál es el nombre del sistema que permite la interrupción de energía de emergencia en un CPD?
¿Cuál es el nombre del sistema que permite la interrupción de energía de emergencia en un CPD?
Signup and view all the answers
¿Qué describe mejor el sistema mecánico según la norma TIA 942?
¿Qué describe mejor el sistema mecánico según la norma TIA 942?
Signup and view all the answers
La ubicación física de un CPD debe evitar:
La ubicación física de un CPD debe evitar:
Signup and view all the answers
¿Cuál es la característica asociada a un CPD de Tier III en comparación con Tier II?
¿Cuál es la característica asociada a un CPD de Tier III en comparación con Tier II?
Signup and view all the answers
En un CPD, la 'sala blanca' se refiere a:
En un CPD, la 'sala blanca' se refiere a:
Signup and view all the answers
¿Cuál es el propósito de ELSA en el contexto de la administración pública?
¿Cuál es el propósito de ELSA en el contexto de la administración pública?
Signup and view all the answers
¿Qué función principal cumple el simulador ELENA?
¿Qué función principal cumple el simulador ELENA?
Signup and view all the answers
¿Qué característica distintiva tiene la plataforma EMMA?
¿Qué característica distintiva tiene la plataforma EMMA?
Signup and view all the answers
¿Qué tipo de técnicas utiliza GLORIA para gestionar incidentes y amenazas?
¿Qué tipo de técnicas utiliza GLORIA para gestionar incidentes y amenazas?
Signup and view all the answers
¿Cuál es el enfoque principal de INES en la gobernanza de la ciberseguridad?
¿Cuál es el enfoque principal de INES en la gobernanza de la ciberseguridad?
Signup and view all the answers
¿Qué función tiene la plataforma IRIS en relación con la ciberseguridad del sector público?
¿Qué función tiene la plataforma IRIS en relación con la ciberseguridad del sector público?
Signup and view all the answers
¿Para qué fue desarrollado LUCIA?
¿Para qué fue desarrollado LUCIA?
Signup and view all the answers
¿Cuál es una característica importante de MARIA en comparación con otras plataformas?
¿Cuál es una característica importante de MARIA en comparación con otras plataformas?
Signup and view all the answers
Study Notes
Valor Acumulado
- El valor acumulado de un activo es el mayor de todos los valores que soporta, incluyendo su propio valor y el de cualquier activo superior.
Impacto y Riesgo
- Impacto: Daño causado por la materialización de una amenaza. Consiste en la pérdida de valor acumulado del activo afectado y de los activos que dependen de él.
- Impacto Repercutido: Si un activo A depende del activo B, las amenazas que afectan a B repercuten en A, lo que provoca la pérdida del valor propio de A.
- Probabilidad de Una Amenaza: No se especifica.
-
Riesgo: Función que relaciona la probabilidad de una amenaza con su impacto.
- El valor 0 representa un riesgo inexistente.
- Magerit se utiliza para estimar el grado de exposición a que una amenaza se materialice sobre un activo, causando daño a la organización.
- Se identifican cuatro zonas de riesgo:
- Zona 1: Probabilidad muy alta y alto impacto.
- Zona 2: Probabilidad variable desde improbable y de impacto medio hasta muy probable y de impacto bajo o muy bajo.
- Zona 3: Probabilidad improbable y de bajo impacto.
- Zona 4: Probabilidad improbable y de muy alto impacto.
- Análisis de Riesgo: Proceso sistemático para determinar la magnitud de los riesgos a los que está expuesta una organización.
- Riesgo Potencial: Describe el daño probable sobre un sistema. Se calcula teniendo en cuenta el impacto de las amenazas y la probabilidad de ocurrencia.
- Riesgo Acumulado: Calculado sobre un activo, considerando el impacto acumulado por una amenaza y su probabilidad.
- Riesgo Repercutido: Calculado sobre un activo, considerando el impacto repercutido por una amenaza y su probabilidad.
Contramedidas
- Antivirus: Software para detectar y eliminar virus informáticos.
- Anti-spam: Soluciones para prevenir o disminuir la entrega de spam.
- Firewalls: Bloquean el acceso no autorizado a un sistema o red, permitiendo las comunicaciones autorizadas.
-
Sistemas de Autenticación: Verifican la identidad de usuarios, dispositivos o entidades antes de permitir el acceso a un sistema de información, red o aplicación. Algunos métodos utilizados son:
- Radius: proporciona autenticación centralizada, autorización y contabilidad para usuarios conectados a una red. Genera un token.
- Kerberos: protocolo de autenticación de red que ofrece una autenticación segura y robusta en redes no seguras. Genera tickets que funcionan como tokens.
- OAuth: estándar de autorización que permite a los usuarios conceder acceso a sus recursos en un sitio web a otro sitio web sin compartir sus credenciales. Se basa en un protocolo de autorización, la autenticación está implícita.
- JWT (JSON Web Token): estándar abierto para crear tokens de acceso que permiten la verificación de identidad y el intercambio seguro de información entre dos partes.
- WAF (Web Application Firewall): Protege las aplicaciones web de ataques como XSS (Cross Site Scripting).
- Eavesdropping: Escucha en secreto conversaciones privadas.
-
XSS (Cross Site Scripting): Permite a un tercero inyectar código JavaScript malicioso en páginas web. Se pueden implementar salvaguardas para combatirlo:
- CORS (Cross-Origin Resource Sharing): conjunto de reglas y mecanismos para controlar la interacción entre diferentes dominios web, priorizando la seguridad del usuario.
- HSTS: Implementa el canal HTTPS de forma obligatoria.
- Content Security Policy: limita las fuentes permitidas para cargar recursos como scripts, CSS, HTML y fuentes.
- Hijacking: Robo de una sesión ya iniciada.
- Clickjacking: Engaña al usuario para que haga clic en un botón o enlace en otro sitio web, usando capas transparentes o marcas de agua.
Soluciones de Ciberseguridad (España)
- ELSA: Sistema nacional para monitorizar activos conectados a Internet, detectando vectores de ataque y vulnerabilidades para entidades gubernamentales.
- ELENA: Simulador para la investigación en ciberseguridad, ofreciendo un entorno simulado basado en situaciones reales.
- EMMA: Plataforma para la vigilancia de la red, facilita la visualización de activos, su autenticación, segregación y automatización de auditorías de seguridad.
- GLORIA: Plataforma para la gestión de incidentes y amenazas de ciberseguridad, utilizando técnicas de correlación compleja de eventos, se basa en sistemas SIEM.
- INES: Solucion para la gobernanza de la ciberseguridad, evalúa regularmente la seguridad de los sistemas TIC y su cumplimiento con el Esquema Nacional de Seguridad (ENS).
- IRIS: Plataforma para conocer el estado general de la ciberseguridad del sector público y la situación de las amenazas a nivel nacional.
- LORETO: Almacenamiento en la nube.
- LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas): Herramienta para la gestión de ciberincidentes en entidades que están sujetas al Esquema Nacional de Seguridad.
- MARIA: Plataforma multi-antivirus en tiempo real con análisis estático en profundidad.
- MARTA: Plataforma de multi-sandboxing para análisis automático de archivos con potencial comportamiento malicioso.
- MONICA: Gestión de eventos e información de seguridad.
Centro de Datos (CPD)
- Temperatura: Los CPDs suelen estar en zonas con temperaturas bajas, especialmente si no se encuentran en climas fríos, para garantizar una temperatura adecuada.
- Iluminación: Se utiliza iluminación artificial, sin luz natural.
- Sistemas de Detección y Control de Incendios: Implementan medidas de seguridad para evitar y controlar incendios (NFPA75).
-
Sistemas de Energía Eléctrica:
- SAI (Sistemas de Alimentación Ininterrumpida) y grupos electrógenos para garantizar el suministro de energía.
- Cuadros eléctricos separados por salas o zonas para mejorar la seguridad.
- Sistemas de Cableado Estructurado, Suelos y Techos Falsos/Técnicos: Se implementan estándares de la industria como TIA 658.
- Sistemas de Control de Acceso y Videovigilancia: Medidas de seguridad para controlar el acceso al CPD y monitorear las actividades.
- Ubicación Física: Se ubican en plantas intermedias, fuera de zonas con interferencias o cerca de canales de agua.
-
CPD Respaldo: Se recomienda tener una réplica de datos:
- Sala Blanca: Equivalente al CPD principal.
- Sala de Backup: Similar a la sala blanca, pero ofrece menos servicios.
Norma TIA 942
- Define cuatro niveles (Tier I a Tier IV) para los centros de datos. Cada nivel ofrece diferentes niveles de disponibilidad y tolerancia a fallos.
Características de los TIER (Tabla)
Tier | Disponibilidad | Anual (horas de parada) | Paradas de mantenimiento | Redundancia | Entrada de energía | EPO (Emergency Power off) |
---|---|---|---|---|---|---|
Tier I | 99,6671% | 28,8 horas | 2/año de 12 h, 3/2 años de 12 h | No | Una única entrada | Botón de parada de emergencia |
Tier II | 99,741% | 22 horas | N+1 | Una única entrada | ||
Tier III | 99,982% | 1,6 horas | Ninguna | 2(N+1) | 2 entradas (1 activa, 1 pasiva) | |
Tier IV | 99,995% | 0,4 horas | Ninguna | Duplicada 2(N+1) | 2 entradas (Activas) |
Eficiencia Energética en CPDs
- PUE (Power Usage Effectiveness): Mide la eficiencia energética del CPD, calculando la relación entre el consumo total de energía y el consumo exclusivo de los sistemas IT.
- Objetivo: Minimizar el desperdicio de energía y reducir el consumo total sin afectar el rendimiento.
Studying That Suits You
Use AI to generate personalized quizzes and flashcards to suit your learning preferences.
Related Documents
Description
Este cuestionario explora conceptos fundamentales sobre el valor acumulado de los activos y cómo se relacionan con el riesgo y el impacto de las amenazas. Conocer el funcionamiento de Magerit y las zonas de riesgo permitirá a los participantes entender mejor la gestión de activos en una organización.